Я не работает в Windows 2012 r2

Обновлено: 21.11.2024

Windows Server 2012 R2

На этой странице содержится список известных исправлений, исправлений и известных проблем Microsoft, связанных с ролью служб сертификации Active Directory. Страница будет обновляться по мере выпуска новых выпусков Microsoft, а также при выявлении новых проблем. Вы можете подписаться на страницу, чтобы получать автоматические оповещения при изменении содержимого. Если у вас есть какие-либо отзывы или комментарии или вы заметили, что чего-то не хватает, сообщите нам об этом.

Журнал изменений — последнее обновление 23 августа 2017 г.

23 августа 2017 г. — обновлено описание исправления для 2008 R2 и 2012 R2 для ошибки OCSP (2950080) с длинными именами ЦС. В статье Microsoft неправильно описана проблема с именем хоста, проблема заключается в имени ЦС.

7 ноября 2016 г. – магический номер OCSP перемещен в раздел проблем клиента

6 июня 2016 г. – Добавлена ​​ошибка 5298357, связанная с недопустимым кодированием ASN.1 расширений политик выдачи сертификатов

Исправления

    - Сообщение об ошибке при посещении веб-сайта, размещенного на IIS 7.0: «Ошибка HTTP 404.11 — URL_DOUBLE_ESCAPED»
    Примечание: ADCS решит проблему, если она установлена ​​на том же компьютере, что и IIS. Однако при размещении файлов Delta CRL на другом компьютере это может стать проблемой.
    - Microsoft Online Responder не может обслужить запрос OCSP, содержащий несколько сертификатов.
    - Служба сетевого ответчика не возвращает детерминированное GOOD для всех сертификатов, не включенных в CRL.
    - Ошибка «Сертификат ЦС не может быть получена, элемент не найден» возникает, когда имя хоста сервера ЦС длиннее 52 символов.
    Примечание. Статья неверна. , имя хоста не имеет значения. Подтверждено Майкрософт
    - Большой запрос URI в прокси веб-приложения завершается сбоем в Windows Server 2012 R2.
    - Заявление эмитента, указанное в файле Capolicy.inf, не включено в выданный сертификат. *Хотя эта статья указана как Windows Server 2000, она применима ко всем более новым операционным системам. Эта проблема актуальна только для сертификатов End Entity, использующих шаблоны сертификатов, где информация о субъекте создается из AD.
    - NDES перестает работать после перезапуска сервера ЦС на базе Windows Server 2012 R2.

Известные проблемы

  • Изоляция сеанса 0 интерактивных служб и HSM CSP/KSP.
    Начиная с Windows Server 2012 службы, работающие в другом контексте, чем пользователь, выполнивший вход на рабочий стол, не могут взаимодействовать. Это связано с изоляцией сеанса 0, встроенной в ядро. Это не позволит многим CSP/KSP модуля аппаратной безопасности взаимодействовать с пользователями. Это будет преобладать, когда необходимо использовать наборы карт для аутентификации перед доступом к ключам CA. Это известная проблема в мире безопасности Thales nCipher — по крайней мере, до версии S/W 11.70. Компания Thales знает об этой проблеме и работает над ее исправлением. Подробнее об изоляции сеанса 0 читайте в статье об интерактивных службах.

Исправление: измените HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\NoInteractiveServices на значение 0 и перезагрузите компьютер.
Обновление: компания Thales выпустила Security World версии 12.1, в которой изменена модель драйвера, и этот раздел реестра больше не влияет на нее.

  • Клиенты Windows XP не могут по умолчанию зарегистрироваться в ЦС Windows Server 2012 R2.
    Когда запрос сертификата получен центром сертификации (ЦС), шифрование запроса может быть принудительно применено ЦС через RPC_C_AUTHN_LEVEL_PKT , как описано в статье MSDN Константы уровня аутентификации. В Windows Server 2008 R2 и более ранних версиях этот параметр по умолчанию не включен в ЦС. В ЦС Windows Server 2012 или Windows Server 2012 R2 этот расширенный параметр безопасности включен по умолчанию. Дополнительные сведения доступны в разделе Повышенная безопасность, включенная по умолчанию для службы роли ЦС.
    Исправлено: в ЦС запустите certutil -setreg CAInterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST и перезапустите службы сертификации.
  • Вы не можете подать заявку на сертификат протокола статуса онлайн-сертификата (CERT_E_INVALID_POLICY).
    Windows Server 2008–2012 R2 может не иметь возможности подать заявку на сертификат OCSP. Чаще всего это вызвано ЦС в иерархии, который указал определенные OID, но не включает в свой EKU специальный OID OCSP (1.3.6.1.5.5.7.3.9). Для получения дополнительной информации см. https://mskb.pkisolutions.com/kb/2962991.
    Исправлено: при указании конкретных OID для CA EKU необходимо включать OID OCSP (1.3.6.1.5.5.7.3.9). При использовании конфигурации по умолчанию «Все политики приложений» никаких действий не требуется.

    Ошибка при установке центра сертификации с помощью Powershell на компьютер или виртуальную машину без сетевого адаптера
    Эта проблема возникает при установке автономного автономного центра сертификации в среде виртуальной машины без сетевого адаптера. В этой конфигурации использование команды Powershell Install-ADCSCertificationAuthority приведет к ошибке. Если сетевой адаптер присутствует, отключен или отключен, ошибка не возникает. Проблема может возникнуть в ОС Windows 2008 или более поздней версии, однако нет встроенных команд Powershell для выполнения установки до Server 2012. Пользовательские сценарии или командлеты Powershell, работающие в этих старых операционных системах, могут вызывать ту же ошибку.
    Исправлено: существует три варианта обхода ошибки:

  1. Настройте гостевую ВМ с отключенным или отключенным сетевым адаптером. После завершения установки вы можете удалить сетевой адаптер из гостевой ВМ.
  2. Вы также можете указать расположение базы данных ЦС, даже если это расположение по умолчанию, добавив аргумент –DatabaseDirectory $(Join-Path $env:SystemRoot "System32\CertLog") к команде Powershell
  3. Для выполнения установки используйте графический интерфейс диспетчера серверов.
  • Ошибка при установке ADCS на компьютерах с именами узлов длиной более 15 символов.
    Состояние ошибки может возникнуть, если имена компьютеров имеют длину 16 или более символов, а сетевой адаптер не подключен (например, автономный центр сертификации). ). Хотя ОС укажет, что возможно разрешение имен Netbios, это не препятствует использованию длинных имен. При установке роли ADCS в Server 2012/R2 установка завершится успешно, второй шаг по настройке роли приведет к сбою диспетчера серверов. На данный момент нельзя удалить ADCS и, следовательно, имя компьютера нельзя сократить до 15 или менее символов.
    Исправление. Исправление этой проблемы заключается в использовании имен хостов, содержащих не более 15 символов. Если вы уже установили ADCS и столкнулись с этой проблемой, временно подключите сетевой адаптер, чтобы разрешить удаление ADCS, а затем измените имя компьютера.
  • Обновление сертификата корневого ЦС и изменение срока действия с помощью файла CAPolicy.inf завершается ошибкой
    При обновлении сертификата корневого ЦС срок действия нового сертификата эквивалентен сроку действия обновляемого сертификата (поскольку сервер 2008). Если требуется альтернативный период действия, параметры RenewalValidityPeriod и RenewalValidityPeriodUnits можно поместить в файл capolicy.inf, чтобы отразить другое значение для нового сертификата. Однако ADCS будет использовать это значение только в том случае, если оно равно или превышает значение обновляемого сертификата. Вы не можете настроить ADCS для обновления корневого сертификата ЦС на срок жизни, меньший, чем у предыдущего сертификата.
    Исправлено: используйте certutil –sign для подписи и указания желаемого срока действия сертификата, добавьте измененный сертификат в личное хранилище компьютера ЦС и свяжите его с закрытым ключом, измените реестр ЦС ( CACertHash ) и перезапустите ЦС. .
  • Инструмент командной строки Windows Server sConfig позволяет изменять членство в домене и имя компьютера даже при установленном центре сертификации ADCS.
    При установке ролей сервера ADCS на сервере размещаются элементы управления, чтобы предотвратить изменения членства в домене и изменения имени хоста. . Чтобы внести изменения в любой из них, сначала необходимо установить ADCS. Такое поведение возникает при внесении изменений в апплет Панель управления\Система. Однако при использовании sConfig (Server Core 2008 R2 или любой версии Windows Server 2012+) нет средств для предотвращения этих изменений. Изменение членства в домене или имени компьютера может нарушить функциональность ЦС предприятия и привести к неподдерживаемой конфигурации.
    Исправлено: удалите функции роли ADCS перед использованием sConfig для внесения изменений в членство в домене или имя хоста компьютера. Кроме того, при использовании версии Windows Server с графическим интерфейсом используйте апплет Панель управления\Система.
  • Ошибка 5298357 — Неверное кодирование ASN.1 расширений политики выдачи сертификатов
    Это известная ошибка Microsoft, приводящая к появлению лишнего символа в конце URL-адресов в расширениях политики выдачи сертификатов. Как правило, это не вызывает проблем, но для сред, подлежащих оценке сертификатов, соответствию CABForum, аудитам WebTrust или использованию таких инструментов, как certlint, вы можете получить такие ошибки, как «ОШИБКА: в строке в CertificatePolicies найден управляющий символ».
    Исправлено: ошибка влияет на синтаксический анализ раздела CAPolicy.inf для политик выдачи, например:

Обходной путь – указать расширение в шестнадцатеричном формате. Удалите конечный байт 00 из дампа ASN.1, созданного certutil -v -asn для неправильно закодированного сертификата, а затем уменьшите выделенные длины на единицу для компенсации.

Мы уже видели, как можно установить IIS (Internet Information Services) в Windows 8.1 в целях тестирования. Теперь мы посмотрим, как вы можете установить IIS на сервер, чтобы разместить свой веб-сайт в рабочих целях.

Между этими двумя процедурами нет большой разницы. Установка быстрая и простая.

Шаг 1. Установите роль веб-сервера (IIS)

Откройте Диспетчер серверов и нажмите Добавить роли и компоненты:

Продолжайте, пока не дойдете до вкладки Роли сервера:

Выберите Веб-сервер (IIS):

Нажмите Добавить компоненты:

Игнорируйте вкладку Функции и продолжайте:

Подойдет конфигурация по умолчанию. Нажмите Далее:

Шаг 2. Настройка IIS

Вернитесь в Диспетчер серверов. Выберите Диспетчер информационных служб Интернета (IIS) в меню Инструменты:

Печать установки и настройки Windows Server IIS

Изменено: вторник, 31 августа 2021 г., 14:55

Это руководство поможет вам установить и настроить IIS на Windows Server. CL Connect был протестирован с Windows Server 2012–2019. Используйте последнюю доступную вам версию Windows Server.

Приведенные ниже инструкции и снимки экрана были созданы с использованием Windows Server 2012 R2. Действия могут различаться в зависимости от используемой версии.

1a.***Если IIS уже установлен на компьютере, перейдите к шагу 8a.***

1б. Откройте меню «Пуск» и выберите значок «Диспетчер серверов».

<р>2. В диспетчере серверов нажмите «Управление» в правом верхнем углу, затем «Добавить роли и компоненты».

<р>3. Нажмите "Далее"

<р>4.С левой стороны выберите Тип установки и убедитесь, что выбрана установка на основе ролей или функций. Нажмите кнопку "Далее.


5. Выберите подходящий сервер и нажмите «Далее»

6.Прокрутите вниз до веб-сервера (IIS) и установите флажок

<р>7. Это создаст всплывающее окно, установите флажок «Включить инструменты управления» и нажмите «Добавить компоненты». Вы вернетесь к мастеру добавления ролей и компонентов. Нажмите кнопку "Далее.

8а. *** Если IIS уже установлен, откройте диспетчер серверов и нажмите «Управление». Затем sвыберите «Добавить роли и функции», а затем нажимайте кнопку «Далее», пока не появится экран «Выбор функций», показанный ниже.***

Примечание. Версии старше указанных выше версий не поддерживаются в Windows Server 2012.

Отсутствуют необходимые условия

Отказано в доступе к установке или требуются права администратора

Windows Server 2012 — отличная операционная система, за исключением, может быть, этих чертовых плиток. Windows 2012 обеспечивает большую масштабируемость, стабильность и безопасность, чем когда-либо прежде. Но благодаря улучшениям в безопасности запуск любого приложения может стать трудным процессом.

Контроль доступа пользователей (UAC) в Windows Server 2012 — это функция, позволяющая установить еще более строгие меры безопасности для пользователей Windows Server, запрашивая задачи, требующие повышенного доступа, ограничивая доступ, которым по умолчанию обладают даже администраторы, и требуя этого приложения. установщики должны иметь цифровую подпись доверенного центра сертификации. Хотя мы всецело поддерживаем повышение безопасности Windows Server, это, безусловно, может затруднить установку приложений.

Время от клиентов мы получаем сообщения о том, что при попытке запустить наш установщик они получают сообщение "Отказано в доступе", "Недостаточно прав", "Для установки этого продукта требуются права администратора" или "Сообщение об ошибке: невозможно связаться с сообщения типа domain», даже если они вошли в систему как член администраторов домена. Обычно это решается следующими шагами:

С этого момента вы сможете продолжить стандартную установку. Однако для сильно заблокированной системы вам также может потребоваться запустить мастер настройки от имени администратора. Щелкните правой кнопкой мыши мастер настройки и выберите "Запуск от имени администратора"

Файл журнала и папки с фотографиями

Directory Update, Directory Password и Directory Manager могут создавать файлы значений (текст), разделенные табуляцией, которые записывают отдельные изменения с помощью соответствующего приложения. Это контролируется в разделе «Аудит» файла AppSettings.XML. Журналы по умолчанию хранятся в папке c:\inetpub\wwwroot\directoryupdate\logs или c:\inetpub\wwwroot\directorymanager\logs.

Предполагая, что вы создали выделенный пул приложений, использующий контекст безопасности СЕТЕВОЙ СЛУЖБЫ, убедитесь, что у пользователя СЕТЕВОЙ СЛУЖБЫ есть разрешение «Изменение» для этой папки.

То же самое относится и к папке "Фотографии", если вы разрешаете пользователям загружать фотографии в Active Directory. Это папка c:\inetpub\wwwroot\directoryupdate\photos или c:\inetpub\wwwroot\directorymanager\photos.

Обновить, обновить, обновить

Читайте также: